Sophos: "30% de Grands Comptes entièrement protégés par Sophos"

 

Assises 2016: Sophos 

 

Laurent Gentil, Manager Technique France Sophos

 

1/ Avec une architecture qui favorise les échanges entre éléments du réseau, tout fonctionne en environnement uniquement Sophos. Viendrez-vous à un environnement hétérogène ?

Toutes nos solutions peuvent travailler ensemble mais ce n’est pas une obligation. Elles peuvent très bien fonctionner en environnement hétérogène. Un client peut utiliser la solution EndPoint de Sophos et un firewall concurrent avec la couche InterceptX* qui va dialoguer avec les deux.

 

Evolutions-Menaces-Sophos-2016

 

2/ Quid de la concurrence next gen End Point ?

La plupart des nouveaux entrants disent que l’antivirus avec signature, c’est du passé…..Faux ! C’est du marketing. Nous, Sophos, disons aujourd’hui que l’antivirus classique n’est pas suffisant mais nécessaire. De gros efforts sont fait sur la détections de notre côté aussi mais ne négligeons pas la prévention.

 

3/ Combien de vos clients sont équipés uniquement Sophos ?

Pour nos clients SMB, nous pouvons dire qu’ils utilisent à 99% une solution complète Sophos mais dans l’environnement grand comptes, les clients privilégient une segmentation par différents fournisseurs. On peut estimer dans ce domaine à 30% les clients tout Sophos.

Nos clients « grand compte » apprécient la simplicité de nos solutions EndPoint mais nous n’avons pas velléité à développer des solutions spécifiques pour répondre à toutes les catégories de demande dans les appels d’offre. Il est vrai que nous ne développons pas de solution sur le cœur de réseau mais nous proposons un schéma d’intégration dans l’infrastructure Security as a Service .Les solutions sont déjà disponible pour Azure et Amazon.

 

4/ Quelles sont vos actus sur les Assises (produits, services, acquisitions, nouveaux clients

Notre actu reste « Simplicité, scalabilité » et nous adressons aussi le Cloud. Nous avons une roadmap IAS et lancerons en début d’année la solution InterceptX serveur.(Windows et Mac)

 

5/ Etes-vous favorable à la présence d’éventuelle backdoor sur le logiciel de cryptographie ?

Nous avons publié un document qui stipule très clairement qu’il n’y aura pas de backdoor dans nos produits pour le respect de la sécurité de nos clients à tout niveau que ce soit.

 

Gérald Delplace / Cyberisques News

 

http://www.cyberisques.com/mots-cles-37-produits-certifies/568-sophos-propose-intercept-x-bloqueur-de-malwares-zeeo-day

 

Juliette Rizkallah, Directrice marketing de Sailpoint : « 30 % de croissance sur le marché IAM pour Nous »

Septembre 2016

 

Juliette Rizkallah, Directrice marketing de Sailpoint : « 30 % de croissance sur le marché IAM pour Nous »

 

 

 

Business et RGPD (GDPR) ?

 Les entreprises européennes doivent relever de nombreux défis, en assurant la sécurité de leurs sociétés face aux violations de données et en respectant le Règlement Général sur la Protection des Données (RGPD). Certaines sociétés ont intérêt a investir dans l identité. De notre coté c’est pr’s de 30 % de croissance. En Europe bien qu’anglo-saxon, nous n’avons pas de problèmes particuliers car les entreprises se basent sur les excellent résultats que les cabinets donnent a notre entreprise.

Pourquoi croire au marché de la Gestion des identités ?

C’est une marché qui bondit via le legislatif d’abord puis la demande naturelle avec une prise de conscience progressive de la part des dirigeants d’entreprises. Ces 5 dernieres années ca a changé. C’est d’abord la disparrition des périmetres des SI puis la poussée d’attaques en mode « social engneering » qui renforce la demande. Les cybercriminels trouvent plus de facilité a s’attaquer aux employés. En outre les données etant hébergées dans des clouds ils se servent des « users » comme intermédiaires pour les atteindre. . Dons les IAM sont stratégiques. Les entreprises doivent être capables de gérer l'accessibilité des personnes au sein de la société et savoir qui à accès à quoi, quels types de données pour quel usage…

Les nouveaux usages via le shadoiw IT par exemple modifient-ils la gestion traditionnelle des acces « users » ?

Oui d’autant qu’avec le Shadow IT des données téléchargées à partir d’un systeme SAP en entreprise peuvent facilement se retrouver via un EXCEL sur des applis « persos » téléchargeables en mode shadow IT.

Le chiffrement peut constituer une solution ?

Dans le cas d’exportation de data en dehors des entreprises le chiffrement est envisageable. D’autant que ca résoud le problème dans le cas d’envoi par erreur.

Travaillez vous avec des cyberassureurs ?

Les compagnies d’assurance ne rentrent pas encore a un niveau trop technique. Elles vérifient le « bon » niveau de sécurité des entreprises. En effet, de leur coté, les attaquants recherchent la facilité. Il faut donc verrouiller de plus en plus de portes pour décourager les criminels.

Comment abordez vous la gestion des risques cyber avec vos clients ?

Toutes les entreprises doivents se poser la question en matiere de cyber risques : quel est celui que je veux gérer, celui que je veux transférer (cyberassurance), celui que j’accepte de prendre sans protection, son coût. Les réglementations les aident de plus en plus.

 

SailPoint-1

 

 

Comment être responsable lorsqu’on a perdu le contrôle de la donnée via une technologie de tranfert, d’hébergement, de supervision ...gérée par un prestataire ?

Nous chez SailPoint nous disons que l’acces sous traitant ou pas doit être géré par l’entreprise émettrice. J’ajoute qu’en fonction des secteurs adressés, les outils IAM sont plus ou moins utilisés correctement C’est le cas avec les acteurs de la finance. Cela dit ce qui compte c’est aussi le nombre d’users. Ainsi un institut financier aux US client de SaiPoint peut vouloir une gestion IAM de haut niveau pour... plus d’un milliard d’users.

Finalement, l’usurpation d’identité c est toujours possibel en 2016. Votre technologie ne peut l’empêcher ?

Techniquement c’est impossible de détecter ce type d’abus mais dans le comportement de cet utilisateur « clone » on peut trouver des incohérences.

Entretien @jpbichard

 

BONUS:

https://www.idc.com/getdoc.jsp?containerId=prUS40960516

 

 

Pokémon GO : ESET met en garde contre de fausses applications

Communcation Corporate: juillet 2016

 

Pokémon GO : ESET met en garde contre de fausses applications

 

Les chercheurs ESET découvrent des fausses applications sur Google Play qui cible les utilisateurs de Pokémon’s GO. L’une d’entre elles utilise pour la première fois une application qui verrouille l’écran (Lockscreen) sur Google Play. Les deux autres applications utilisent la fonctionnalité scareware qui oblige l’utilisateur à payer pour des services inutiles.

Pokemon-ESET-2

Toutes les fausses applications découvertes par ESET et détectées grâce à ESET Mobile Security (application lockscreen nommée « Pokémon GO Ultimate » et les applications scareware « Guide & Cheats for Pokémon GO » et « Install Pokemongo ») ne sont plus disponibles sur Google Play. Elles ont été retirées de l’app Store suite à l’alerte donnée par ESET. Même si ces fausses applications ne sont pas restées longtemps sur le Google Play, elles ont généré quelques centaines de téléchargements. L’application « Pokémon GO Ultimate », a piégé entre 500 et 1.000 victimes, « The Guide & Cheats for Pokémon GO » en a atteint entre 100 et 500, et la plus dangereuse d’entre elles, « Install Pokemongo » a atteint entre 10.000 et 50.000 téléchargements. « Pokémon GO Ultimate » cultive son extrême ressemblance avec la version officielle du célèbre jeu mais ses fonctionnalités sont très différentes : elle verrouille l’écran automatiquement après le démarrage de l’application.

pokemon-Lock-ESET-1

 

Dans de nombreux cas, réinitialiser le téléphone ne fonctionne pas parce que l’application se superpose à toutes les autres, ainsi qu’aux fenêtres du système. Les utilisateurs doivent redémarrer leurs appareils en retirant la batterie ou en utilisant Android Device Manager. Après la réinitialisation, l’application malveillante fonctionne en arrière-plan, à l’insu de sa victime, en cliquant silencieusement sur des annonces à caractère pornographique. Pour se débarrasser de l’application, l’utilisateur doit aller dans Réglages -> Gestion des Application -> PI Réseau et la désinstaller manuellement. « Pokémon GO Ultimate » est la première fausse application sur Google Play qui utilise avec succès une fonction de verrouillage d’écran. Comme la fonctionnalité principale de cette application est le clic sur des annonces pornographiques, il n’y a pas de réels dommages. Mais il suffit de peu pour que la fonction de verrouillage d’écran évolue et ajoute un message de rançon, pour créer le premier ransomware par lockscreen sur Google Play.», explique Lukáš Štefanko, Malware Researcher chez ESET.

Alors que l’application « Pokémon GO Ultimate » porte les signes d’un screenlocker et d’un pornclicker, les chercheurs ESET ont également trouvé un autre malware sur Pokémon GO dans Google Play. Les fausses applications nommées « Guide & Cheats for Pokemon GO » et « Install Pokemongo » sur Google Play, appartiennent à la famille des Scarewares. Ils escroquent leurs victimes en leur faisant payer des services inutiles. En leur promettant de leur générer des Pokecoins, Pokeballs ou des œufs chanceux – jusqu’à 999.999 chaque jour – ils trompent les victimes en leur faisant souscrire à de faux services onéreux. (Cette fonctionnalité a récemment été décrite dans un article publié sur WeLiveSecurity).

« Pokémon GO est un jeu si attrayant que malgré les mises en garde des experts en sécurité, les utilisateurs ont tendance à accepter les risques et à télécharger toutes applications qui leur permettraient de capturer encore plus de Pokémons. Ceux qui ne peuvent pas résister à la tentation devraient au moins suivre des règles de sécurité élémentaires. » recommande Lukáš Štefanko.

Conseils des experts en sécurité ESET pour les afficionados de Pokémon GO :

  • téléchargez uniquement ce qui vient d’une source connue

  • - lisez les avis en prêtant attention aux commentaires négatifs (gardez en tête que les commentaires positifs ont pu être créés par le développeur)

  • - lisez les termes et conditions de l’application, concentrez-vous sur la partie qui concerne les permissions requises

  • - utilisez une solution de sécurité mobile de qualité pour vérifier toutes vos applications   

 

BONUS: 

http://www.independent.co.uk/life-style/gadgets-and-tech/gaming/pokemon-go-down-servers-ddos-attack-hackers-poodlecorp-game-unavailable-a7140811.html

 

http://www.welivesecurity.com/2016/07/15/pokemon-go-hype-first-lockscreen-tries-catch-trend/

 

 

 

 

Trend Micro "go between" entre la France et le Japon ?

Assises 2016 : Trend Micro 

 

Trend Micro "go between" entre la France et le Japon ?

 

 

A l’occasion de son traditionnel déjeuner Presse « d’avant les Assises de la Sécurité » (Monaco 5 – 8 octobre 2016) Trend Micro a fait le point sur son rapport de sécurité, les relations entre le Japon et La France en cybersécurité et a dévoilé les conclusions d’une étude spécifique sur « le Web underground en France ».

 

Le rapport sur l’underground français précise l’éditeur « s’inscrit dans la lignée du programme CUES (Cybercriminel Underground Economy Series) lancé en 2014 » L’idée étant d’apporter des informations pertinentes sur les économies souterraines liées à la cybercriminalité, et ce dans différentes parties du monde. Pour la France, Cédric Pernet, chercheur et auteur de l’étude (lire :http://cyberisques.com/fr/mots-cles-1/459-assises-de-la-securite-2015-quelques-tendances-pas-toujours-evoquees ) a retenu cinq places de marché parmi les plus importantes et deux forums majeurs tenus par des cybercriminels en France.

Faisant suite à des rapports sur les « communautés » underground russes, chinoises, allemandes… l’édition « française » était on s’en doute attendue. A première vue, Trend opte pour la discrétion. Donc pas de révélations partenariat avec Interpol oblige ! « L’éditeur japonais le plus français de la cybersécurité » reconnaît qu’il collabore avec les services de Police et de Gendarmerie notamment en France. Toutefois, il refuse le terme « d’indic ». Ou commencent et ou s’arrêtent les contenus échangés ? Pour Loïc Guézo, évangéliste chez Trend Micro : «  Les chiffres donnés par la Police et la Gendarmerie sont issus des estimations des autorités entre 5 et 10 millions d’euros par mois. Ce que nous avons fait chez Trend c’est ajouter à ces estimations une liste des prix unitaires » (voir le document ci-joint) ; Qu’obtient l’éditeur - dont le cœur de métier reste ne l’oublions pas la vente de ses solutions et services – en échange des informations fournies ? No comment.

Quant au contenu du rapport, il nous livre quelques pistes : près de 40 000 « individus » composeraient l’ underground » français mais seulement une petite centaine seraient réellement actifs et « offriraient des services Pro ». Services payants grassement qui leurs permettraient de s’offrir « de belles voitures » selon l’auteur du rapport.

A noter que l’on peut évoquer sans trop se tromper selon les experts de Trend un underground Français au même titre qu’allemand ou russe. Dans cet univers virtuel des frontières existent créant une espace cyber propre à un pays. Cet espace peut être défini par la langue, parfois la monnaie d’échange (souvent le bitcoin) mais surtout la nature des offres proposées. Ainsi, lorsqu’il s’agit de faux papiers reproduisant ceux émis par l’administration française, les auteurs « ciblent » une clientèle vivant ou désireuse de vivre en France.

Les conditions de l’enquête sur l’espace underground français du darkweb mondial étaient « rudes » précise Cédric Pernet en introduction de son rapport : « La méfiance est d’actualité au sein de cet environnement, et aussi importante que dans l’underground Japonais. Les systèmes de babillards électroniques (BBS) japonais utilisent des CAPTCHA pour filtrer les utilisateurs et s'assurer qu'ils sont bien du pays ou, du moins, qu'ils communiquent en japonais. En France, on va plus loin : les forums, places de marchés et autres autoshops ("boutiques" tenues par un seul vendeur) exigent d'y adhérer ou imposent un processus de validation avant toute participation. Les administrateurs de forums ne permettent à un demandeur d'en être un membre actif qu'après obtention d'un certain score de réputation, et certains forums classent leurs utilisateurs selon le critère de l'expérience. Les novices sont traités différemment des cybercriminels plus expérimentés qui disposent d'un statut premium (Elite, Administrateur, membre de confiance...) ». Les luttes et rivalités entre « cyber-marchands » existent. Un mur de la « honte » a même été créé sur certains forum ; Les enjeux business sont là : entre 5 et 10 millions d’euros par mois selon la Police et la gendarmerie « qui procèdent non pas a partir de plaintes mais sur des estimations suite a des enquêtes sur les comptes bancaires des cybercriminels » précise Loïc Guézo.

 

Cybercriminel: score de réputation et mur de la honte

Au sein de l’underground français, les administrateurs de forums ne permettent à un demandeur d'être un membre actif qu'après obtention d'un certain score de réputation précise le rapport.  Le score de réputation d'un membre augmente à chaque post pertinent publié ou transaction frauduleuse réussie sur le forum. "Plus votre score de réputation est élevé, plus vous êtes une personne de confiance (en clair, vous ne faites pas partie des forces de l'ordre)."

Coté cyber-boutique, on reste davantage au niveau artisanal que business international. Pas de cyber-mafia, peu d’interconnexion entre les undergrounds « nationaux » et pas de trafic d'armes lourdes voire de transactions propres à des cyberterroristes. Les produits et services revendus (voir le document ci-dessous) vont du kit de phishing à celui du suicide « clé en main », de la location de réseau de botnet aux données de cartes de paiement…

En revanche, les cybercriminels savent entretenir un climat de méfiance via l’usage systématique d’outils de chiffrement en plus de Kit et d’outils d’origines étrangères de type RAT « ce qui limite fortement les possibilités pour les enquêteurs » reconnaît Cédric Pernet.

Comme sur de nombreux forums cybercriminels, se procure des « outils » de type malware, chevaux de Troie, botnet et ransomware (rançongiciel) constituent un « classique » de ce type de « business ». C’est une réelle menace estime Cédric Pernet en pointant les nombreuses « variantes de ransomwares » commercialisées au sein de l'underground français. « Nous avons identifié deux cybercriminels vendant des ransomware. Ces logiciels semblaient être conçus sur mesure pour des victimes françaises. Un des ransomware, en phase finale de développement, était présenté sous forme de copies d'écran illustrant son fonctionnement. Le rançongiciel exigeait un paiement de la rançon sous forme de Bitcoins, de carte prépayée ou de carte Paysafe. »

Numérisation 20160916 2

Source TrendMicro 2016

 

Coté paiement précisément, le rapport précise que bitcoin et cartes prépayées ont la faveur des cybercriminels ; L'utilisation de bitcoins offre un certain niveau d'anonymat aux utilisateurs. Cette monnaie virtuelle s'échange et se transfère simplement, sans exiger d'identification puisque cette monnaie n'est pas réglementée. Les cartes prépayées, disponibles un peu partout en France ou en ligne, sont populaires auprès des acheteurs. Certains marchands n'exigent d'ailleurs aucune identification des acheteurs qui se procurent ou rechargent leur carte prépayée. Seul un numéro de téléphone mobile valide est requis, ce qui reste assez simple à obtenir. Ces cartes se sont donc imposées comme idéales pour les achats illégaux. Les cartes prépayées sont devenues si populaires que certains cybercriminels vendent de telles cartes avec de fausses cartes d'identité et informations personnelles (adresse personnelle, email et une carte SIM qui est utilisée pour enregistrer la carte prépayée). Les acheteurs se contentent ainsi d'utiliser des fausses cartes prépayées pour percevoir le paiement des produits/services illicites commercialisés.

 

TrendMicro, acteur stratégique netre le Japon et la France ? 

L’équipe de Trend Micro France a également rappelé d’autres thèmes dédiés aux Assises 2016 : le rapport de sécurité premier semestre 2016 (a consulter dans Cyberisques News partie réservée aux abonnés) des évolutions produits sur les services de partage Cloud (Cloud App Security) et les conséquenecs des récentes acquisitions TippingPoint notamment et les nouveaux produits spécifiques à la protection des architectures Scada. Jean-Marc Thoumelin, patron historique de l’éditeur japonais a tenu a rappeler la culture de partenariat propre à Trend Micro et la solidité de son organisation interne «indépendante » de toutes formes de pressions actionnaires compris.

Loïc Guézo, veilleur officiel et évangéliste chez Trend Micro en Europe, expert en sécurité nucléaire, ancien du « chiffre » a précisé qu’entre les échanges propres aux pays de l union Européenne en matière de cybercriminalité, existe au-delà du deuxième axe US-Europe un troisième axe Japon-France essentiellement : «  Il s’agit là d’une alternative a l’axe US-Europe. L’axe Franco japonais se consolide via les échanges entretenus par les structures françaises telles que le CEA et l’INRIA sans omettre l’ANSSI. Depuis mars 2015 une initiative de l’INRIA contribue a renforcer un échange avec le NICT japonais et l’université de Kei au Japon » révèle t-il. Ces travaux initiés par l’Ambassade de France et débutés en avril 2015 touchent des domaines aussi variés que la cryptographie, les univers des calculateurs quantiques… En février 2016 une réunion a Paris a été annulée suite aux attentats terroristes. Durant la semaine du 19 au 23 septembre une prochaine réunion se tiendra entre Japonais et Français a Rennes.

@jpbichard

 

(Une version complete de l'article est réservéé aux Abonnés de Cyberisques NEWS) 

 

 

 

Indicateur CheckPoint: Les cyberattaques ciblant les entreprises ont augmenté de 61% au premier semestre 2016

Communication Corporate : Juillet 2016

 

Check Point Threat Index

Les cyberattaques ciblant les entreprises ont augmenté de 61% au premier semestre 2016

 

Le dernier Check Point Threat Index révèle également que le malware HummingBad qui a déjà infecté 85 millions de terminaux mobiles Android frappe également les entreprises !

 

(Lire aussi en fin d'article:  selon une étude de Kaspersky Lab publiée le 19 juillet,  le nombre d’attaques lancées contre les entreprises en 2015-2016 a été multiplié par six par rapport à la période 2014-2015, passant de 27 000 à 158 000 cas. Ainsi, les « rançongiciels » (ransomware) ont tenté de crypter les données d’un utilisateur professionnel B2B sur dix (1).)

 

 

Paris, le 20 juillet 2016 – Check Point® Software Technologies Ltd. (code NASDAQ : CHKP) a publié aujourd'hui son tout dernier threat index, révélant que le nombre de familles de logiciels malveillants actifs a augmenté de près de deux tiers durant la première moitié de 2016, et que les réseaux d'entreprises et les appareils mobiles restent les cibles favorites de ces logiciels.

En juin, Check Point a détecté 2 420 familles de logiciels malveillants uniques et actifs attaquant les réseaux d'entreprise, soit une augmentation de 61%  par rapport à janvier 2016 et une augmentation de 21% depuis avril.

 

Cette augmentation continue démontre, une fois de plus, le large éventail de menaces pesant sur les réseaux d'entreprise et l'ampleur des défis auxquels les équipes de sécurité sont confrontées pour stopper les attaques menées contre leurs données.

Conficker est resté le logiciel malveillant le plus couramment utilisé en juin, alors que HummingBad est de retour dans le top trois des menaces ciblant les réseaux des entreprises. Check Point a révélé récemment que 85 millions d'appareils dans le monde sont infectés par HummingBad. Ce malware génère environ 300 000$ par mois de revenus publicitaires frauduleux pour les criminels qui l'exploitent, ce qui met en exergue l’attrait des terminaux mobiles pour les cybercriminels.

En juin, Conficker représentait 14% des attaques reconnues pour le deuxième mois consécutif, tandis que Sality, en seconde place, représentait 10%. HummingBad en troisième place représentait 6% de toutes les attaques. Les dix principales familles comptaient pour plus de 50% de toutes les attaques reconnues.

 

1.       ↔ Conficker - Un ver permettant des opérations à distance, des téléchargements de logiciels malveillants et le vol d'identifiants, en désactivant les services de sécurité des systèmes Microsoft Windows. Les postes infectés sont contrôlés par un botnet, qui contacte son serveur de commande et de contrôle pour recevoir des instructions.

2.       ↑ Sality - Un virus infectant les systèmes Microsoft Windows pour permettre des opérations à distance et des téléchargements de logiciels malveillants supplémentaires. En raison de sa complexité et sa capacité d'adaptation, Sality est considéré comme étant l'un des logiciels malveillants les plus redoutables à ce jour.

3.       ↑ HummingBad - Un logiciel malveillant Android installant un rootkit persistant et des applications frauduleuses sur les appareils, qui permettent des activités malveillantes supplémentaires telles que l'installation d'un enregistreur de frappes, le vol d'identifiants et le contournement des conteneurs chiffrés de courrier électronique utilisés par les entreprises. À ce jour, le logiciel malveillant a infecté 85 millions d'appareils mobiles.

Les familles de logiciels malveillants mobiles ont continué de représenter une menace importante pour les appareils mobiles des entreprises en juin ; leur top trois reste inchangé. Les trois principales familles mobiles étaient :

1.       ↔ HummingBad - Un logiciel malveillant Android qui a infecté 85 millions d'appareils mobiles dans le monde pour générer des revenus publicitaires frauduleux. HummingBad installe un rootkit persistant des applications frauduleuses sur les appareils, et effectue des activités malveillantes supplémentaires telles que l'installation d'un enregistreur de frappes et le vol d'identifiants.

2.       ↔ Iop - Un logiciel malveillant Android installant des applications et affichant de nombreuses publicités à l'aide d'un accès root sur les appareils mobiles. La quantité de publicités et d'applications installées impacte fortement les ressources des appareils et les rend difficilement utilisables.

3.       ↔ XcodeGhost - Une version compromise de la plate-forme de développement Xcode pour iOS. Cette version non officielle de Xcode a été modifiée afin d'injecter du code malveillant dans toute application développée et compilée. Le code injecté envoie des informations à un serveur de commande et de contrôle, ce qui permet à l'application infectée de lire le presse-papiers de l'appareil.

« L'augmentation continue du nombre de familles de logiciels malveillants actifs ciblant les réseaux d'entreprises au cours de la première moitié de 2016 illustre bien les niveaux de menace croissante auxquels les entreprises sont actuellement confrontés, » déclare Nathan Schuchami, head of threat prevention chez  Check Point. « Les pirates consacrent leurs efforts à créer de nouvelles familles de logiciels malveillants sophistiqués pour escroquer les entreprises et dérober des données. Les entreprises ont besoin de mesures de prévention des menaces de pointe sur leurs réseaux, leurs postes et leurs appareils mobiles, pour stopper ces menaces avant qu'elles n'en deviennent victimes. »

 

 

BONUS: 

 

 

Infoblox-2016-Kit

 

 

 

Top 10 per country

Malware_Family_Name

Description

Conficker

Conficker is a computer worm that targets the Windows OS. It exploits vulnerabilities in the OS and uses dictionary attacks on the admin passwords to enable propagation while forming a botnet.
This infection allows an attacker to access users' personal data such as banking information, credit card numbers, or passwords.
The worm originally targeted users of networking websites such as Facebook, Skype and email websites.

Zeroaccess

ZeroAccess is a Trojan that uses an advanced rootkit to hide itself. It can also create a hidden file system, download additional malware, change search results, and open a back door in the infected computer. It is involved in Bitcoin mining and click fraud.
Trojans in this family can download and run other files, contact remote hosts and disable security features.
Variants of ZeroAccess can be installed by other malware, including variants of the Necurs family.
The Trojan is called ZeroAccess due to a string found in the kernel driver code that is pointing to the original project folder called ZeroAccess. It is also known as max++ as it creates a new kernel device object called __max++>. 
The ZeroAccess botnet was discovered around May 2011, and it is estimated that the rootkit responsible for the botnet's spread has been present on at least 9 million systems

Adwind

Adwind is a Backdoor that targets systems supporting the Java runtime environment. This malware sends out system information and accept commands from a remote attacker. Commands can be used to display messages on the system, open URLs, update the malware, download/execute files, and download/load plugins, among other actions. Downloadable plugins for the malware can provide considerable additional functionality including remote control options and shell command execution.

Dridex

Dridex is a Trojan that targets the Windows platform. This malware is reportedly downloaded by an attachment found in spam emails. This malware identifies itself with a remote server by sending out information about the infected system. Furthermore, it can download and execute arbitrary modules received from the remote server.

Cryptodef

CryptoDefense (or Cryptodef) is a ransomware released in 2014 and is considered the predecessor of the infamous Cryptowall . It encrypts non-binary user files such as text, documents, images, videos and more. It then displays a text file with instructions on how to decrypt the files and demanding payment for using the decryption service. It is usually dropped by other malware which have been installed on the machine, or downloaded directly when browsing a malicious or compromised website.

Angler ek

Angler first appeared in late 2013. By early 2015, it was the widest spread exploit kit in the wild, a description which is still valid in 2016.
Angler is known for its early adoption of zero day exploits, sometimes using them within a few days of the first disclosure.
The infection starts when a browser is redirected to a landing page that contains heavily obfuscated JavaScript.
The Angler landing page identifies the plug-in versions found on the infected machine so the exploit can target vulnerabilities. It also tries to identify if the vulnerable system is a virtual machine. Flash is the primary exploited program. There are also active exploits for Java, Silverlight, Acrobat and even old versions of Internet Explorer.

Zeus

Zeus is a widely distributed Windows Trojan which is mostly used to steal banking information. When a machine is compromised, the malware sends information such as the account credentials to the attackers using a chain of C&C servers. The Trojan is also used to distribute ransomware. 
Zeus was first identified in July 2007 when it was used to steal information from the United States Department of Transportation. Over the next few years the malware compromised hundreds of thousands of machines, becoming one of the world's largest botnets. The malware was distributed mostly by email, using phishing attacks.
In October 2010 the FBI arrested more than one hundred people on charges of conspiracy to commit bank fraud and money laundering, including the suspected master mind behind the botnet - Hamza Bendelladj, who was arrested in 2013. Currently, many cybercriminals use custom Zeus variants, which are typically spread via phishing and drive-by downloads.

Ramdo

Ramdo is a Trojan horse that uses click-fraud to steal information. 
Ramdo executes a series of commands once it gets inside the system and targets the core system of Windows to complete its tasks. It gathers data such as system settings, Windows version, and network configuration. The collected data is sent to a remote host for analysis. Ramdo operates silently in the background and can disable some features of security software. Microsoft Security Software may detect the presence of this Trojan.

Locky

Locky is a ransomware Trojan that targets the Windows platform. This malware sends out system information to a remote server and receives an encryption key to encrypt files on the infected system. The malware demands that the payment to be made in the form of Bitcoins digital currency. To survive a system reboot, it adds a Run key Registry entry.

Ponmocup

Ponmocup is a Botnet which have been active as of 2006 and has reached its peak in 2011, with approximately 2.4 million controlled machines.
Its infrastructure is complex and includes dedicated servers for various tasks. Some 25 unique plug-ins and 4000 variants have been observed, a fact which indicates continuous development is taking place. The trojan features several anti-analysis functions such as heuristic checks for analysis tools, and its goals include credentials theft for financial gain as well as ad fraud, data theft and downloading additional threats.

 

 

À propos du Threat Index de Check Point

L'indice de menace de Check Point repose sur des renseignements sur les menaces tirés de sa carte Threat Map, qui suit le déroulement des cyberattaques dans le monde entier en temps réel. La carte Threat Map est alimentée par des renseignements issus de Check Point ThreatCloudTM, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d'adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement.

Des ressources sur la prévention des menaces de Check Point sont disponibles à l'adresse : http://www.checkpoint.com/threat-prevention-resources/index.html

 

 

Entreprises françaises: ransomwares, 1 user BtoB sur 10 infecté  

 

Selon la dernière étude Kaspersky Lab issue de statistiques traitées par le réseau dédié à la sécurité des informations KSN (Kaspersky Security Network)[1], le nombre d’attaques lancées contre les entreprises françaises en 2015-2016 a été multiplié par six par rapport à la période 2014-2015, passant de 27 000 à 158 000 cas. Exemple: les « rançongiciels » (ransomware) ont tenté de crypter les données d’un utilisateur professionnel B2B sur dix.

 

  • 1 crypto-ransomware sur 10 dans le monde cible les entreprises ;
  • 39% des entreprises s’inquiètent davantage de la sécurité des infrastructures de leurs partenaires tiers que de la leur (41% en France) ;
  • 52% des entreprises anticipent que leur sécurité va été compromise à un moment ou à un autre, et qu’elles doivent se préparer à cette éventualité (43% en France) ;
  • 38% des entreprises considèrent ne pas disposer de suffisamment d’informations / de cyber intelligence concernant les menaces qui les visent (42% en France) ;
  • 29% des entreprises pensent avoir été spécifiquement ciblées par des cyber attaques (35% en France) ;
  • Moins d’une entreprise sur deux est 100% sûre que son réseau n’est pas piraté (41,4% dans le monde ; 36% en France).

Les spécificités des petites et moyennes entreprises 

 

Les cybercriminels qui utilisent des ransomwares s’en prennent de plus en plus aux entreprises, et notamment aux petites et moyennes structures (PME). Cette tendance est confirmée par l’étude IT Security Risks 2016 réalisée par Kaspersky Lab et B2B International, selon laquelle 42 % des personnes interrogées au sein de petites et moyennes entreprises dans le monde estiment que les « cryptomalwares » constituent l’une des plus graves menaces auxquelles elles ont été confrontées l’année dernière.

Dans le cas des petites entreprises, toute indisponibilité de données — quelle qu’en soit la durée — peut provoquer des pertes importantes, voire mettre leur activité en danger. Si une entreprise ne prend pas les mesures qui s’imposent pour sécuriser ses informations importantes, l’achat de la clé de décryptage auprès de cyber-criminels risque d’être la seule solution pour récupérer les données volées — sans toutefois garantir l’intégralité des informations récupérées.

 

 

Dans ce but, les experts de Kaspersky Lab recommandent aux petites et moyennes entreprises d’observer plusieurs règles de sécurité simples :

 

  • Sauvegardez régulièrement tous vos fichiers importants.
  • Faites confiance à des fournisseurs de services renommés et respectueux qui investissent dans la sécurité.
  • Évitez d’utiliser exclusivement des logiciels de sécurité et anti-malware gratuits.
  • Procédez régulièrement à la mise à jour de votre système d’exploitation, de vos navigateurs, de votre logiciel antivirus et autres applications.
  • Évitez les interventions informatiquesd’urgence —  demandez à un expert de configurer la solution de sécurité de votre entreprise. Les petites structures ne disposent généralement pas d’un service ou d’un administrateur informatique dédié à plein temps : elles font confiance à un employé féru de nouvelles technologies pour s’occuper de leur parc d’ordinateurs, en plus de ses fonctions officielles. Vous ne devez pas attendre qu’un problème survienne ; faites appel à l’assistance informatique d’un fournisseur de services informatiques pour examiner en amont l’état de votre parc logiciel et le niveau de sécurité de votre configuration.

 

 

 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires